AVIS D’EXPERT JURIDIQUE – Pour Solutions Numériques, Maître Alexandra Iteanu, Avocat à la Cour (Numérique, Cybersécurité et Data), fait le point sur les « Digital Service Act » (DSA) et « Digital Market Act » (DMA).
Leur rédaction aura fait l’objet d’intenses débats et d’un lobbying acharné, et les voilà enfin entrés en vigueur, les fameux règlements sur les marchés numériques et sur les services numériques, plus connus sous le nom de « Digital Service Act » (DSA) et « Digital Market Act » (DMA).
Deux règlements européens qui, à l’instar du règlement UE n°2016/679 dit « RGPD »[1], qu’on ne présente plus, vise à rétablir un certain équilibre entre l’Europe et les géants du numérique (américains surtout), et à protéger notre souveraineté numérique. Il est en effet important de noter que ces deux règlements s’appliquent à toutes entreprises délivrant des services en Europe, qu’elles soient localisées ou non au sein de l’Union Européenne.
Le DMA est entré en vigueur le 1er novembre 2022, pour être mis en œuvre à compter du 2 mai 2023, tandis que le DSA est quant à lui entré en vigueur le 25 août 2023 pour les très grandes plateformes en ligne et les très grands moteurs de recherche, les autres acteurs n’y seront soumis qu’à compter du 17 février 2024.
DSA : ce qui est illicite hors ligne devrait aussi l’être en ligne
L’objectif principal du Digital Service Act, ou DSA, est de lutter contre les contenus et produits illégaux proposés en ligne, comme par exemple les contenus haineux ou terroristes, ou encore la commercialisation de produits contrefaits ou dangereux.
Cet objectif est rendu possible par une plus grande responsabilisation des acteurs concernés qui sont qualifiés de « fournisseurs de services intermédiaires ». Il s’agit des places de marché en ligne, réseaux sociaux, plateformes de partage de contenus ou encore des plateformes d’hébergement en ligne.
Le DSA impose ainsi de nouvelles obligations à ces « fournisseurs de services intermédiaires », avec notamment la mise en place pour les utilisateurs d’un système permettant de signaler facilement et rapidement les contenus illicites, l’obligation de traiter en priorité les signalements réalisés par des organisations qualifiées de « signaleurs de confiance », l’obligation d’instaurer un système interne de traitement des réclamations, ou encore l’interdiction de ciblage publicitaire des mineurs.
Une des nouveautés notables également de ce règlement est la création d’obligations spécifiques pour les « très grandes plateformes » et les « très grands moteurs de recherche » : obligation de transparence renforcée, de mise en place d’analyse de risque, ou encore d’audits indépendants.
L’esprit du texte reste cependant le même que celui de la Directive 2000/31/CE dite « Directive e-commerce » qu’il modifie en partie : les prestataires techniques n’ont toujours pas d’obligation de surveillance généralisée de leurs espaces, et le régime de non-responsabilité déjà en place est toujours applicable.
DMA : de nouvelles obligations imposées aux grandes plateformes en ligne désignées comme « GateKeeper »
L’objectif de ce règlement est de prévenir les abus de position dominante des géants du numériques, et d’offrir un plus grand choix au consommateur européen.
Les plus grandes plateformes, considérées comme bénéficiant d’une position quasi monopolistique sur le marché européen, sont dans ce contexte qualifiés par le règlement de « contrôleurs d’accès » ou « gatekeeper ».
Pour ces entreprises, une série d’interdictions et d’obligations spécifiques est prévue par le règlement. Ces dernières n’auront par exemple plus le droit de traiter les données personnelles de leurs utilisateurs pour de la publicité en ligne, devront permettre l’installation de logiciel tiers avec le système d’information de ces gatekeepers, ou encore devront assurer la portabilité des données de leurs utilisateurs.
Le 6 septembre 2023, la Commission européenne a désigné la liste des six premiers contrôleurs d’accès concernés : Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft. Ces derniers disposent de six mois pour se conformer à toutes les obligations fixées par le DMA, pour les services désignés.
Pour ces deux règlements : les grandes plateformes étrangères dans le viseur, des sanctions à la hauteur des enjeux
Bien que leurs objectifs soient distincts, ces deux règlements, désignés comme le « paquet législatif relatif aux services numériques » par la Commission européenne, présentent de nombreuses similitudes et s’inscrivent dans la logique du RGPD. Il s’agit d’un réel contrepoids contre les géants du numérique, avec des sanctions à la hauteur de leurs enjeux et des amendes élevées.
Ils présentent de plus l’avantage d’imposer des obligations graduées en fonction de la taille de l’acteur visé et du nombre d’utilisateurs ciblés.
Cette nouveauté est la grande différence notable par rapport au RGPD, qui a été vivement critiqué pour avoir imposé les mêmes obligations à toutes les organisations, de la petite entreprise jusqu’à la multinationale. Avec ces nouveaux règlements, une nouvelle nuance est intégrée, puisque c’est le nombre d’utilisateurs impliqués qui déterminera le degré d’obligations imposée.
Maître Alexandra Iteanu